Вчера мы обновили наш RB1100AH2x с 6.19 до 6.22 и при этом потеряли наши туннели L2TP / IPSec. Журналы теперь завалены ошибками IPSec, указывающими
failed to pre-process ph2 packet.
В журнале изменений для 6.21 я заметил, что вы больше не можете использовать пустое значение для группы политик в одноранговой политике. Мы изначально настроили наш туннель таким образом, и я подозреваю, что это причина ошибок.
Может ли кто-нибудь указать мне в правильном направлении, как решить эту проблему?
См. Соответствующую конфигурацию ниже (обратите внимание, что первая запись в одноранговом узле ipsec имеет значение, поэтому меня больше всего беспокоит запись «1».
/ip ipsec peer> print
Flags: X - disabled, D - dynamic
0 X address=xx.xx.xx.xx/32 local-address=0.0.0.0 passive=no
port=500 auth-method=pre-shared-key secret="redacted"
generate-policy=no policy-template-group=*FFFFFFFF
exchange-mode=main send-initial-contact=yes
nat-traversal=no proposal-check=obey hash-algorithm=md5
enc-algorithm=3des dh-group=modp1024 lifetime=1d
lifebytes=0 dpd-interval=disable-dpd dpd-maximum-failures=1
1 D address=0.0.0.0/0 local-address=0.0.0.0 passive=yes port=500
auth-method=pre-shared-key secret="redacted"
generate-policy=port-strict policy-template-group=default
exchange-mode=main-l2tp send-initial-contact=yes
nat-traversal=yes hash-algorithm=sha1
enc-algorithm=3des,aes-128,aes-192,aes-256
dh-group=modp1024 lifetime=1d dpd-interval=2m
dpd-maximum-failures=5
/ip ipsec proposal> print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1
enc-algorithms=3des,aes-256-cbc lifetime=30m
pfs-group=modp1024
Вам необходимо удалить группу, которая находится в группах IP / ipsec.
Затем на вкладке одноранговых узлов будет указано «неизвестно». После этого должно работать.